<div dir="ltr">On Mon, Aug 15, 2016 at 3:04 PM, Lukas Tribus <span dir="ltr"><<a href="mailto:luky-37@hotmail.com" target="_blank">luky-37@hotmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">> For that I need to disable forward secrecy (since it is only a test<br>
> environment security is not an issue)<br>
><br>
> So I changed the "ssl_ciphers" in my /sites-enabled/default file from:<br>
><br>
> ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";<br>
> into<br>
> ssl_ciphers "AES128-SHA";<br>
<br>
</span>This cannot work, HTTP/2.0 only always certain ciphers [3]. The fact the it works in Apache means Apache violates the RFC.<br>
<br>
Also see nginx manual [4].<br></blockquote><div><br><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">​​That is a wrong assumption and an inadequate blame on Apache.<br><br>The list you are mentioning and which is directly linked in the nginx example you referenced (<a href="https://tools.ietf.org/html/rfc7540#appendix-A">RFC 7540, Appendix A</a>)​ ​uses the MAY keyword, defined as 'truly optional'.<br>nginx has made the choice​ of strictly following RFC advice, but technology who don't make no violation <i>per se</i>.<br>​</div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
[3] <a href="http://http2.github.io/http2-spec/#TLSUsage" rel="noreferrer" target="_blank">http://http2.github.io/http2-<wbr>spec/#TLSUsage</a><br>
[4] <a href="http://nginx.org/en/docs/http/ngx_http_v2_module.html#example" rel="noreferrer" target="_blank">http://nginx.org/en/docs/http/<wbr>ngx_http_v2_module.html#<wbr>example</a></blockquote><div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">​<div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Thus, this configuration <b>can</b> work and the problem is definitely elsewhere (cf. Valentin message for example).<br clear="all"></div></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline"><div><div class="gmail_signature" data-smartmail="gmail_signature"><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font>​</div></div></div> </div></div></div></div>